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クラ ウド サー ビス の 安全 性 評価 に 関す る 検討 会 中 間 と り ま と め ( 案 ) に 対す る 意見 





2019 年 4 月 16 日 
総論 
BSA | Software Alliance (BSA)! は 、「 ク ラウ ドサ ービス の 安全 性 評価 に 関す る 検討 会 


間 と り ま と め ( 案 ) 」 (以下 「 中 間 と り ま と め 」 と いい ます 。) に つい て 、 総 務 省 及び 
経済 産業 省 に 対し て 以下 の 通り 意見 を 提出 し ます 。 




























































































BSA は 、 総 務 省 及 び 経 済 産業 者 が 、 政 府 全体 に お ける クラ ウド の 利用 拡大 及び より 良い ク 
ラウ ドサ ービス の 安全 性 評価 手続 の 策定 に 全力 で 取り 組ん で お られ る こと を 高く 評価 し ま 
す 。 ま た 、 中 間 と り ま と め が 、 各 府 省 情報 化 統括 責任 者 (CIO) 連絡 会 議 に より 決定 され た 
「 政 府 情 報 シ ステ ム に お ける クラ ウド サー ビス の 利用 に 関す る 基本 方 針 」 に 掲げ られ た 

「 ク ラウ ド ・ バ イ ・ デ フォ ルト 原則 」 の 重要 性 を 認識 し 言及 し て いる こと も 、 大 変 意 義 が 
ある と 考え ます 。 さ ら に 、 日 本 政府 が 、 諸 外国 に お ける クラ ウド 導入 に 関す る 様々 な 実務 
を 調査 し て 、 中 間 と り ま と め 作 成 の 参考 に され た こと を 歓迎 し ます 。 












































































































































BSA 会 員 企 業 は 、 最 先端 の クラ ウド コン ピュ ー テ ィング 技術 及び サー ビス 提供 で 世界 を 替 
引 し て お り 、 こ れ を 利用 する こと に よっ て 、 政 府 が 、 ネ ットワーク セキ ュ リ ティ や シス テ 
ム の 可用性 を 高め な が ら 、 そ の 俊敏 性 、 生 産 性 及び 革新 性 を 向上 する こと を 支援 し て いま 
a 









































クラ ウド サー ビス プロ バイ ダー(CSP) は 、 地 理 的 な 分 散 と 規模 の 経済 を 利用 し て 、 潤 沢 な 
リソー ス が ある 企業 で あっ て も 保有 で き な い よう な 、 効 率 性 や 信頼 性 が 高く 安全 な ソフ ト 
ウェ ア を 介 し た サー ビス を 提供 する た め 、 多 く の 場 合 、 複 数 国 の 市 場 で 同時 に 事業 展開 し 
て いま す 。 そ の た め 、 安 全 で 効果 的 な クラ ウド サー ビス の 採用 を 促進 する 方 針 は 、 他 国 の 
公共 セク ター の クラ ウド の 安全 性 評価 及び 認証 制度 と 相互 運用 性 が あり 、 ま た 、 国 際 規 格 
に 適合 し て いる こと が 不可 欠 と な り ま す 。 






















































































1BSA | The Software Alliance (BSA | ザー・ ソ フト ウェ ア ・ ア ライ アン ス ) は 、 政 府 や グロ ー バ ル 市 場 に 
お いて 、 世 界 の ソフ トウ ェ ア 産 業 を 代表 する 主唱 者 で す 。BSA の 会 員 は 世界 で 最も イノ ベー ティ ブ な 企業 
で 構成 され て お り 、 経 済 を 活性 化 さ せ 、 現 代 生 活 を 向上 させ る ソフ トウ ェ ア ・ ソ リュ ーション を 創造 し て 
いま す 。 ワ シン トン DC に 本 部 を 置き 、60 カ国 以上 で 活動 する BSA は 、 正 規 ソ フト ウェ ア の 使用 を 促進 す 
る コン プラ イア ンス ・ プ ログ ラム を 先導 し 、 技 術 革 新 の 推進 と デジ タル 経済 の 成長 を 促す 公共 政策 を 提唱 
し て いま す 。 















































































































































BSA の 活動 に は 、Adobe, Akamai, Amazon Web Services, Apple, Autodesk, AVEVA, Bentley Systems, 
Box, Cadence, Cisco, CNC/Mastercam, DataStax, DocuSign, IBM, Informatica, Tntel, MathWorks, 
Microsoft, Okta, Oracle, PTC, Salesforce, Siemens PLM Software, Slack, Splunk, Symantec, 
Synopsys, Trend Micro, Trimble Solutions Corporation, Twilio, and Workday が 加盟 企業 と し て 参加 
し て いま す 。 詳しく は ウェ ブサ イト (bttp://bsa. cr. jp) を ご 覧 くだ さい 。 
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また 、 公共 セ クタ ー 


(Infrastructure as a 





こ お け る クラ ウド 利用 


、PaaS (Platform as a Service) 




















Service) 


の 安全 


性 評価 制度 を 考え る 上 で は 、TaaS 


、SaaS (Software 








as a Service) と いっ た 異な る クラ ウド コン ピュ ー テ ィング サー ビス モデ ル に つい て も 考 








慮 し な く て は な り ま せん 。 これら の 3+= 
に 関す る 責任 共有 と その 
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様々 な 点 で それ ぞ れ 異な っ て お り 、 そ の た めそ れ ぞ れ に 適切 な アプ 
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さら に 











、 提 案 さ れ て いる クラ ウド サー ビス の 安全 性 評 


、 運 用 効率 


E デ ル は 、CSP と ユー ザー の ts 
性 、 ク ラウ ド 環 境 に 
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は 、 し ば し ば 、 ク ラウ ドサ ービス レベ ル ア グ リー メン ト (クラ ウド 
に 記載 され て いま す 。 
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(以下 単に 「 評 価 制 度 」 








価 の 制度 








と いい ます 。 ) は 、 全 て の 政府 機関 に お いて 統一 的 に リス クベ ー ス アプ ロー チ 及 び 多 層 防 





御 の ア プロ ー チ を 確実 に 採用 し 、 政 府 機関 及び 今後 この 証 























『 価 制度 を 取り 入れ る 他 の 組織 に 








お いて 安全 か つ 効 果 的 な クラ ウド サー ビス の 導入 を 促進 する も の で ある 必要 が あり ます 。 
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上 記 の 旬 提 
的 に コメ ント を し ます 。 








ご 的 な 方 針 に 加え 、 中 間 と り ま 





と め の 各 項 








に つい て 、BSA は 以下 の 通り 具体 














「2. 政府 に お ける 情報 ・ 情 報 シ ステ ム の クラ ス 分 け に つい て 」 及 び 「4.4. シス テム 全体 の 
アデ アーキ テク チャ に つい て 」 











中 間 と り ま と め は 











これ は 、 ク ラウ ドコ ン ピ ュ 
し て いま す 。 タ クラ ウド サー 




















異な る 管理 





クチ ャ 内 で も 、 の プラ イバシー、 











] さ せる こと を 可能 に 
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性 要件 を 充足 する ソリ ュー ショ ン の 柔軟 性 が } 





クラ ウド 安全 性 の 政策 は 、 
ロー チ が 持つ 和 柔 








様々 な アプ 
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離 」 を 検討 する こと を 指 








~~ 





jm 





欧 性 と 多様 性 














E 洋 し て いま す 。 し か し 、 





ー キ テク チャ に お いて は 、 


要 で ある こと が 多く 、 去 


が 低減 し 、 セ キュ リティ ( 
識 さ れる べき で す 。 


こと が 十分 認 











また 、 政 府 機関 等 の 情報 セキ ュ リ ティ 対策 の た め の 統 一 
「 政 府 統一 基準 」 と いい ます 。) ! 











物理 的 に 








こ 関 する 誤解 を 生む 等 





情報 及び 情報 シス テム の クラ ス 分 け 


ー テ ィング シス テム の 安全 





し まし た 。 これら の 革新 に より 、 ク ラウ ド シ ス テム に 
肖 し 、 


これ ら の 革新 を 認識 し 、 機 密 情報 の 安全 
に 適応 し た も の で ある べき で す 。 中間 と り ま と め 
情報 シス テム の クラ ス 分 け に つい て 」 
は 、 機 密 性 の 高い 情報 を 保護 する 方 法 と し て 「 シ ステ ム の 分 


情報 シス テム を 分 離す る こと は 、 
hh っ て 、 そ の よう な シス テム に 保存 され た 情報 へ の アク セス と 利用 


に 関す る 考え 方 を 記載 し て お り 、 
性 を 検討 する 上 で 重要 な 考慮 点 を 示 











ビス が 発展 する に つれ 、 ク ラウ ドア ー キ テク チャ は 革新 を 遂げ 、 
の 設定 を 適用 し た 別個 の コン テ ナ を 使用 する こと で 、 同 一 の クラ ウド アー キテ 


機 上 A 


お ける 安全 





多様 性 が 広がり まし た 。 
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及び 「4.4. シス テム 全体 の 





先進 的 な クラ ウド コン ピュ ー テ ィング ア 
安全 性 の 観点 か ら 不 
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、 意 図 し な い 結 果 を も た ら す 可能 性 が ある 














基準 (平成 30 年 度 版 ) (以下 





こ お い て 、 物 理 的 な ネットワーク か ら の 分 離 は 、 リ アル 


タイ ム に セキ ュ リ ティ アッ プ デ ー ト を 受け られ る 利点 を 妨げ 、 却 っ て サイ バー セキ ュ リ テ 


ィ リ スク を 増大 させ る 可能 
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て いる (政府 統一 基 
す 。 今後 、 





22F Shibuya Mark City West P 
1-12-1 Dogenzaka Shibuyaku, F 
Tokyo 150-0043 


クラ ウド の 安全 








2.1(2)a 項 参 照 ) こ と 
性 



































羽 


+81 3 4360 5473 
+81 3 4360 5301 


W bsa.org 


性 が ある に も 関わ ら ず 、 セ キュ ! 
に つい て 、BSA 
『 価 に 関す る 議論 を 政府 統一 基準 に 反映 させ る 際 に 


ティ の 解決 策 と し て 推奨 され 
は 引き 続き 懸念 を 有 し て いま 
は 、BSA が 














Japan Representative Office 








以前 政府 統一 基準 に 関し て 提出 し た パブ リッ クコ メン ト “を 参照 くだ さる よう お 願い し ます 。 
この 点 、 ク ラウ ド の 安全 性 に 関す る 政策 は 、 ユ ー ザ ー の セキ ュ リ ティ 、 プ ライ バシ ー 及 び 
機能 要件 に 応じ た 具体 的 な 統制 目標 と コン ピュ ー テ ィング 環境 に 基づい て 、 多 層 防 御 の ア 
プロ ー チ に よる サイ バー セキ ュ リ ティ 防御 を 推進 すべ き で す 。 
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さら に 、 情 報 の クラ ス 分 け に つい て の アプ ロー チ は 、 既 存 の ベス ト プ ラ クティ ス と 整合 

性 を 有する 必要 が ある と 考え ます 。 特に 、 情 報 の 機密 性 の クラ ス 分 け の 参考 と し て 、 米 国 
国立 標準 技術 研究 所 (NIST) の Special Publication(SP)800- 603 及 び Federal Information 
Processing Standard(FIPS) 1991 を 使用 する こと を BSA は 推奨 し ます 。 
























































「3.2. 制度 の フレ ー ム ワー ク 」 に つい て 


BSA は 、 本 フレ ー ム ワー ク に お いて 「 既 存 の 仕組 みや 認証 制度 等 が 最大 限 活 用 で きる よう 
に する こと 」 と の 提案 を 全面 的 に 支持 し ます 。 こ の 点 に 関連 し て 、 確 実に 、 監 査 及び 評価 
プロ セス を 十分 迅速 に 行う こと が で きる 評価 制度 を 日 本 政府 が 実施 し て いた だ ける よう 要 
望 致 し ます 。 






































中 間 と り ま と め に は 、「 ク ラウ ドサ ービス の 導入 に よる メリ ッ ト を 活か す た め に も 、 シ 
ステ ム 調 達 全体 と し て クラ ウド サー ビス 導入 以前 より も 費用 が 下がる よう 、 制 度 設計 する 
必要 が ある 」 と 記載 され て いま す 。 これ は 重要 な ポイ ント で す が 、 ク ラウ ドコ ン ピ ュ ー テ 
ィング ソリ ュー ショ ン を 実装 する た め の ト ー タ ルコ スト を 従来 の 情報 シス テム と 比較 する 
に は 、 調 達 コ スト の みな ら ず 、 要 員 、 メ ン テ ナ ンス 、 構 内 の 物理 的 安全 確保 に 関す る 他 の 
費用 も 含め て 計算 する 必要 が あり ます 。 言い換え れ ば 、 ト ー タ ル な 運用 コス ト に つい て 、 
オン プレ ミス と クラ ウド サー ビス を 比較 する こと が 極め て 重要 で す 。 も っ と も 、 コ スト が 
クラ ウド サー ビス を 利用 する か どう か を 決定 する 唯一 の 要因 で は な いこ と を 認識 する こと 
も 重要 で す 。 調達 基準 は 、 ソ リュ ーション が 最終 的 に ユー ザー 要件 を 満た すこ と を 確実 に す 
る た め 、 パ フォ ー マ ン ス 、 レ イ テ ン シー、 潜 在 的 な トレ ー ド オフ 等 の 他 の 要因 も 含め る こと 
が で きる よう 和 柔軟 性 を 有する べき で す 。 

























































































































































































「3.3. 制度 の 詳細 設計 」 に つい て 





・ 民 間 企 業 の 基準 策定 へ の 参加 











2019 年 夏 頃 まで に 策定 され る 管理 基準 案 は 、CSP に と っ て 極め て 重要 で す 。 日 本 政府 が 、 
管理 基準 及び 関連 する 方 針 、 ガ イド ライ ン 、 ル ー ル を 策定 する プロ セス に お いて 透明 性 を 
保つ と と も に 、 プ ロ セ ス 全 体 を 通じ て BSA 会 員 企業 を 含む 関係 ステ ー ク ホル ダー か ら 助 言 
を 得る よう BSA は 提言 し ます 。 日 本 政府 が 重大 な 決定 を する 際 は 、 事 前 に CSP に フィ ー ド 
バッ ク を 求め 、 民 間 企 業 か ら 十 分 な 専門 知識 の 提供 を 受け た うえ で 関連 する 基準 方針 を 
策定 する こと が 不可 欠 で す 。 































































































2 BSA が 提出 し た パブ リッ クコ メン ト は 、https://bsa. or. jp/wp-content/uploads/bsa_20180628.pdf で ご 
確認 くだ さい 。 

3 SP 800-60 Vol. 1 Rev. 1: Guide for Mapping Types of Information and Information Systems to 
Security Categories https://csrc.nist. gov/publications/detail1/sp/800-60/vo1-1-rev-1/fina] を 
ご 参照 下さ い 。 

1 FIPS PUB 199: Federal Information Processing Standards Publication: Standards for Security 
Categorization of Federal Information and Information Systems 

https: //csrc. nist. gov/csrc/media/publications/fips/199/fina1/documents/fips-pub-199-fina1. pdf 
を ご 参照 下さ い 。 
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・ 規 範 的 な 要件 で は な く 、 リ スク ベー ス で 結果 指向 の 要件 で ある こと 























平価 制度 及び 関連 ルー ル は 、 政 府 機関 が 、 オ ー プ ン な シス テム を 採用 し て 、 機 密 性 の 分 
類 等 に 従い 、 暗 号 化 、 認 証 そ の 他 CSP が 提供 する 機能 を 使用 し て 情報 を 管理 する こと を 可 
能 に する も の で ある べき で す 。 
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管理 基準 に 関し て は 、 結 果 を 重視 し た アプ ロー チ が 重要 で す 。 なぜなら 、 基 準 が 非常 に 
詳細 に 定め られ て いる 場合 と 比較 し て 、 MK 
Ai こ 開 発し 革新 する こと を 可能 に する か ら で す 。 規範 的 な セキ ュ リ ティ 要件 は す 

に 陳腐 化す る の みな ら ず 、 セ キュ リティ に お ける 最新 技術 の 恩恵 を 受け る 政府 の 能力 を 
SM 従っ て 、 管 理 標準 は 、 i ee i 
く 、 結 果 を 重視 し 、 明 確 に 定義 され た 目的 を 記載 すべ き で す 。 
























































































































































ー タ 保管 又は 処理 の 物理 的 な 場所 に 依存 しない セキ ュ リ ティ 
































中 間 と り ま と め は 、「 ク ラウ ドサ ービス を 運用 する デー タ セ ンタ ー 等 の 物理 的 な 基準 も 
位置 付け る こと 」 を 提案 し て いま す 。 こ の 点 、 グ ロー バル に 円 滑 な デー タ の 越境 移転 を 確 
保 し 最適 化す る こと が 、 規 模 の 経済 及び コス ト 上 の 利点 、 バ ッ ク ア ッ プ シス テム の 冗長 性 
並び に グロ ー バ ル な サイ バー セキ ュ リ ティ 償 威 に 対応 し た シス テム の リア ル タ イ ム ア ッ プ 
デー ト と いっ た クラ ウド サー ビス の 恩恵 を 最大 化す る た め に 不可 欠 な こと を 十分 に 認識 し 
前 所 と すべ き で す 。 










































































「4.5. 政府 内 の 体制 構築 ・ 制 度 利 用 の 実行 性 確保 に つい て 」 


監査 主体 、 ク ラウ ドサ ービス の 顧客 又は ユー ザー と し て の 政府 機関 及び CSP の 間 で 共有 
され る 情報 に は 、CSP が 保有 する 秘密 情報 が 含ま れる 可能 性 が あり 、 当 事 者 間 で の 守秘 義務 
契約 に 服 す る 場合 が あり ます 。 こ の 点 に 関し て 、 登 録 筐 に より 公開 され る 情報 の 適切 な 範 
囲 に つい て 慎重 に 検討 する こと が 非常 に 重要 で す 。 




















































































































また 、 登 録 島 に 多く の CSP が 未だ 登録 され て いな い 制 度 立ち 上 げ 時 期 で あっ て も 、 確 実 
に 、 政 府 機関 ボク ラウ ドサ ービス の 利用 を 開始 し 又は 継続 で きる よう 、 適 切な 移行 措置 を 
設け て いた だ く よ う 要望 し ます 。 














結び 





BSA は 、 中 間 と り ま と め に 対す る 意見 を 提出 する 機会 を 感謝 し ます 。 私 ども は 、 本 意見 
が 中 間 と り ま と め を 完成 させ る に あたり 有益 で ある こと を 願っ て いま す 。BSA は 、 評 価 制度 
の 人 策定 に あたり 総務 省 及 び 経 済 産業 省 に 是非 協力 させ て いた だ きた く 存 じ ま す 。 ま た 、BSA 
の 会 員 企業 及び 他 の CSP が 管理 基準 及び 関連 シー ル の 作成 に 頁 献 し 、4.1. 記 載 の シミ ュ レ 
ーション に も 参加 する こと を 真 誤 に 希望 し ます 。 本 意見 に つい て 、 ご 質問 等 ご ざい まし た 
らい つ で も ご 連絡 下さ い 。 














uh 
| 






















































































以 上 
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